open search
close
Germany Internationales Arbeitsrecht Legal Tech

EU General Data Protection Regulation (GDPR) – countdown of one more year

Print Friendly, PDF & Email
EU GDPR

Die EU-Datenschutz-Grundverordnung – noch ein Jahr bis zur Anwendbarkeit

– bi-lingual posting / zweisprachiger Beitrag –

The European General Data Protection Regulation (GDPR) will become applicable throughout the European Union on 25 May 2018, with additional national legislation. By then, companies need to be compliant. The German Bundesrat has recently passed the new Bundesdatenschutzgesetz, which will adapt the European Regulation into national German law. This means that now there is full clarity about the wording of the new law.

From a practical perspective, the most important changes are:

  • Administrative fines for the companies of up to 10 / 20 Mio EUR or up to 2 / 4 % of the total worldwide annual turnover, whichever is higher
  • Legal claim for data subjects to compensation in case of material and – this is new -immaterial damages
  • All of these changes are made significantly more threatening by the duty for companies to document and be able to demonstrate their data privacy system, which is in effect a reversal of the burden of proof.

Much has been written about the future changes based on the GDPR and its adaption into German law, such as a blog posting by Till Hoffmann-Remy on the changes for the protection of employee data and by Jan Heuer regarding the need to review and change existing works council agreements to be compliant with future law. In the following, we will give a few highlights with a focus on what needs to be done now.

  • Get an overview:
    • What data have been saved in the company IT by whom, for how long, for what purpose and on which legal basis? Does this include private employee data?
    • What are the data flows to external recipients and third parties inside and outside of the EU?
    • What data processors are acting on behalf of the company?
    • Which data privacy procedures, policies and notices are currently in place?
  • Gap analysis and implementation of changes
    • Housecleaning” of all unrequired data (in an employment context, this includes non-electronic data under German law)
    • Develop new employee/client notices observing the much more detailed information requirements under the GDPR
    • Draft or update IT/data privacy policies
    • Develop and draft a procedure for potential data breaches
    • Create procedures for data subject requests for information, correction and deletion of data (all of which have existed before but will require more detail and need to be taken much more seriously under the GDPR)
    • Implement new technical and organizational measures for technical data safety
    • Update the consent management
    • If legally required and not yet in place, appoint a Data Protection Officer (in Germany, the previous threshold of 10 or more employees with computer access will continue to be applicable)
    • If not yet in place, create a register of all data processing (Records of processing activities)
    • Implement, if required, a procedure for data portability
    • Implement, if required, a data protection impact assessment procedure
    • Review existing works council agreements for compliance with the requirements of the new GDPR, (re)negotiate works council agreements about implementation of all technical systems, all policies and procedures on data privacy

Die EU-Datenschutzgrundverordnung (DSGVO) wird vom 25. Mai 2018 an in der Europäischen Union anwendbar sein, ergänzt durch nationale Gesetze. Zu diesem Zeitpunkt müssen Unternehmen die Vorgaben der DSGVO umgesetzt haben und einhalten. Der Deutsche Bundesrat hat kürzlich dem neuen Bundesdatenschutzgesetz zugestimmt, welches die europäische Verordnung in das deutsche Recht übernehmen wird. Das bedeutet, dass nun Klarheit besteht über den Wortlaut des künftig anwendbaren Rechts.

Aus praktischer Sicht sind die wichtigsten Veränderungen:

  • Geldbußen für Unternehmen von bis zu 10/20 Millionen Euro oder von bis zu 2/4 % des jährlichen weltweiten Umsatzes, je nachdem was höher ist;
  • Gesetzlicher Anspruch der Betroffenen auf Schadensersatz für materielle und – insoweit neu – immaterielle Schäden;
  • Diese Veränderungen sind für Unternehmen deutlich bedrohlicher als in der Vergangenheit aufgrund der Verpflichtung aus der DSGVO, alle Maßnahmen zur Einhaltung des Datenschutzes zu dokumentieren und darlegen zu können, was einer Beweislastumkehr gleich kommt.

Es ist viel geschrieben worden über die künftigen Veränderungen aufgrund der DSGVO und ihrer Übernahme in das deutsche Recht, so in einem Blogbeitrag von Till Hoffmann-Remy über die Veränderungen im Beschäftigtendatenschutz und von Jan Heuer über die Auswirkungen des neuen Datenschutzrechts auf existierende Betriebsvereinbarungen. Im Folgenden geben wir einen ersten Einblick, was nun zu tun ist.

  • Einen Überblick bekommen:
    • Welche Daten sind in den IT-Systemen des Unternehmens von wem, für wie lange, für welchen Zweck, auf welcher Rechtsgrundlage gespeichert worden? Gehören hierzu auch private Beschäftigtendaten?
    • Welche Datenflüsse gibt es zu externen Empfängern und Dritten innerhalb und außerhalb der EU?
    • Welche Auftragsdatenverarbeiter sind für das Unternehmen tätig?
    • Welche Verfahren zum Datenschutz, welche Vorschriften und welche Informationsschreiben gibt es bereits?
  • Prüfung auf Anpassungsbedarf und Umsetzung:
    • Gründliches Sichten und ggf. Löschen aller Daten, die nicht mehr benötigt werden (Im Hinblick auf Beschäftigtendaten gehören hierzu nach deutschem Recht auch nicht elektronisch gespeicherte Daten.)
    • Entwickeln von neuen Informationsschreiben an Arbeitnehmer oder Kunden über die gespeicherten Daten unter Berücksichtigung der deutlich gestiegenen Anforderungen nach der DSGVO.
    • Entwerfen oder Aktualisieren von internen IT-/Datenschutzvorschriften (Policies).
    • Entwerfen oder Aktualisieren einer Verhaltensanweisung für etwaige Datenschutzpannen
    • Entwickeln von Verhaltensanweisungen für den Umgang mit Anfragen von Betroffenen nach Information über, Berichtigung von oder Löschung von gespeicherten Daten (All diese Ansprüche gab es bereits zuvor; sie sind aber künftig deutlich detaillierter auszugestalten und ernster zu nehmen.)
    • Einführung oder Aktualisierung von technischen und organisatorischen Maßnahmen zur Gewährleistung von technischem Datenschutz
    • Verfahren zur Speicherung der Einwilligungserklärungen von Beschäftigten, Kunden etc.
    • Soweit rechtlich geboten und noch nicht vorhanden, ist ein Datenschutzbeauftragter zu ernennen. (In Deutschland ist das auch künftig erforderlich in allen Unternehmen, die wenigstens zehn Personen mit Zugang zu einem Computerarbeitsplatz beschäftigen)
    • Soweit noch nicht vorhanden, ist ein Verfahrensverzeichnis zu erstellen
    • Soweit erforderlich, ist ein Verfahren für die Übertragbarkeit von Daten zu entwickeln
    • Soweit erforderlich, ist ein Verfahren für die Datenschutz-Folgenabschätzung bei besonderen Datenverarbeitungsverfahren zu entwickeln.
    • Existierende Betriebsvereinbarungen sind daraufhin durchzusehen, ob sie die Anforderungen der neuen DSGVO erfüllen, ferner sind Betriebsvereinbarungen über die Einführung aller genannten technischen Systeme, Verhaltensanweisungen und Vorschriften (soweit erforderlich, erstmals) zu verhandeln.

 

Dr. Jessica Jacobi 

Rechtsanwältin
Fachanwältin für Arbeitsrecht
Partner
Dr. Jessica Jacobi ist seit 2003 Partnerin der Sozietät. Gemeinsam mit ihrem Team berät sie nationale und internationale Arbeitgeber in allen Fragen des deutschen Arbeitsrechts, wie z.B. bei der Reorganisation von Unternehmen, bei Massenentlassungen und in schwierigen Individualstreitigkeiten inklusive interner Ermittlungen. Sie ist ein aktives Mitglied der International Practice Group für Data Privacy bei unserem internationalen Kanzleinetzwerk Ius Laboris und berät häufig z.B. bei der Einführung neuer technischer Systeme und deren Verhandlung mit dem Betriebsrat, bei Auskunftsansprüchen von Arbeitnehmern nach Art. 15 DS-GVO und bei internationalen Datenübertragungen. Sie ist Autorin einer Vielzahl von Veröffentlichungen und tritt regelmäßig als Referentin auf. Sie ist Mitglied der Fokusgruppe "Datenschutz".
Verwandte Beiträge
Compliance Neueste Beiträge Whistleblowing

EU-Kommission zur Whistleblowing-Richtlinie: Welche Bestimmungen des HinSchG stehen auf dem Prüfstand?

Rund ein Jahr nach Inkrafttreten des deutschen Hinweisgeberschutzgesetzes (HinSchG) hat die EU-Kommission nun ihren Bericht über die Umsetzung der Whistleblowing-Richtlinie (WB-RL) in den EU-Mitgliedsstaaten veröffentlicht und dabei erhebliche Mängel festgestellt, die auch das HinSchG betreffen. Bereits im März 2023 hatte die EU-Kommission vor dem EuGH Klage gegen Deutschland wegen nicht rechtzeitiger Umsetzung der WB-RL erhoben. Die Entscheidung des EuGH und Sanktionszahlungen im zweistelligen Millionenbereich werden…
Datenschutz Neueste Beiträge

Schadensersatz nach der DSGVO – wer beweist was?

Schadensersatzforderungen des Arbeitnehmers wegen eines angeblichen Datenschutzverstoßes des Arbeitgebers sind ein beliebtes Instrument, um im Arbeitsgerichtsprozess Druck auf den Arbeitgeber auszuüben. Häufig wird jedoch übersehen, dass der Arbeitnehmer nicht nur den Datenschutzverstoß darlegen, sondern auch beweisen muss, hierdurch einen konkreten Schaden erlitten zu haben. Demgegenüber muss der Arbeitgeber beweisen, dass ihn kein Verschulden trifft, um der Schadensersatzforderung entgegenzutreten. Nach allgemeinen prozessualen Grundsätzen obliegt es demjenigen,…
Individualarbeitsrecht Neueste Beiträge

Wenn Arbeitgeber Bewerber googeln: Informationspflicht und Datenschutz im digitalen Zeitalter

Internetrecherchen spielen für Arbeitgeber im Bewerbungsprozess eine immer größere Rolle. Im digitalen Zeitalter gibt es eine hohe Diversität an Informationen über Personen im Netz. Dadurch kann das Internet Informationen über Bewerber bieten, die über die in den eingereichten Bewerbungsunterlagen hinausgehen. Arbeitgeber müssen allerdings einiges beachten, wenn sie die Namen von Bewerbern in eine Suchmaschine eingeben und dadurch erlangte Informationen im Auswahlverfahren verwerten möchten. Arbeitgeber müssen bei…
Abonnieren Sie den kostenfreien KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

 

Die Abmeldung ist jederzeit möglich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert